Version 3.56


  • ChurchToolsMitarbeiter

    Wir haben eine tolle neue Version für euch. Hier der Blogpost dazu: https://blog.church.tools/blog/churchtools-version-3-56/

    Lest euch am besten alle den Abschnitt zu IT-Sicherheit durch, da es hier möglicherweise Anpassungen von euch benötigt.



  • Danke für das Update.

    Wäre es denkbar in Zukunft bei solchen wichtigen Änderungen wie zB "IT-Sicherheit: CSRF" eine Vorankündigung zu machen? Nun ist es so, dass viele Entwickler vor einem nicht funktionierendem System stehen. Mit einer Vorankündigung hätte man schon vorarbeiten können.

    Ich weiß, dass es bei dem Thema IT-Sicherheit auch immer schwierig ist, so etwas vorher anzukündigen. Gut finde ich, dass ihr aber noch die Option habt, dass man den alten API-Call nutzen könnte.

    Deswegen eine offene Frage.


  • ChurchToolsMitarbeiter

    Grundsätzlich bin ich voll be dir @chrstn_hsbrg. Wir gucken immer, dass wir Änderungen, die andere Systeme betreffen vorher ankündigen. Bei dieser Sicherheitslücke ist das aber nicht möglich gewesen. Weil wir mussten sie sofort schließen und daher können wir nicht einfach die Sicherheitslücke verraten bevor wir keinen Fix haben.

    Dass das leider nun für Kunden etwas aufregend sein kann verstehen wir, aber in diesem Fall hatten wir leider keine andere Möglichkeit. Daher haben wir die Einstellung eingebaut, damit ihr ggf. auf eigene Gefahr hin erstmal die Sicherheitslücke noch mal selber öffnet, aber dafür die System weiter funktionieren.



  • Hallo,
    erstmal vielen Dank für das Update, die neue Gruppenanmeldung ist Super geworden! Kommt für uns gerade rechtzeitig vor unserer großen Sommerfreizeit. Deshalb von uns noch ein paar Anmerkungen:
    Dass man seine Familie mit anmelden kann, finde ich ideal und das ist genau das was wir brauchen. Aber ich habe beim ersten Test festgestellt, dass diese Option nur zur Verfügung steht, wenn man schon bei CT gelistet ist. Für Gäste, die sich das erste mal anmelden, ist diese Funktion nicht da. Hat das einen bestimmten Grund? Wäre doch nur logisch, dass diese Personen sich dann auch gleich mit der ganzen Familie eintragen können.
    Zweitens wäre es evtl hilfreich, wenn einige Gruppenfelder als "Familienfelder" deklariert werden könnten. Beispielsweise bräuchte man die IBAN eigentlich nicht 5 mal für die ganze Familie eintragen, sondern es würde einmal reichen.



  • @hbuerger Bin voll bei dir. Danke!


  • admin

    Was für ein wundervolles Release! Fetten Dank für die unermüdliche Arbeit an CT.


  • ChurchToolsMitarbeiter

    @samu95 Wir haben viel nachgedacht über das Thema und die Möglichkeit auch andere Personen als sich selbst anzumelden die noch nicht in ChurchTools sind.

    Das Problem ist, sobald man das machen kann kann man jede Person in ChurchTools anmelden. Und das ist ein Datenschutzproblem.

    Deswegen gibt es auch vor der Anmeldung (unangemeldet) den Check mit der E-Mail. So ist sichergestellt, dass man nicht irgendwelche Personen in ChurchTools anmeldet die da gar nicht zugestimmt haben.



  • richtig coole Sache. Danke an das ganze Team! Wird es bald eine Möglichkeit geben, mit der App Gruppenhomepages aufzurufen? Ich weiß, dass das über die mobile Webfunktion geht...


  • ChurchToolsMitarbeiter

    @Marian sagte in Version 3.56:

    richtig coole Sache. Danke an das ganze Team! Wird es bald eine Möglichkeit geben, mit der App Gruppenhomepages aufzurufen? Ich weiß, dass das über die mobile Webfunktion geht...

    Ich will nicht zu viel Veraten, aber Willow Creek Kongress besucher wissen mehr 😉

    Spaß beiseite: Wir testen gerade intern die neuste App Version, in der kann man sich dann tatsächlich zu Gruppen anmelden und mehr 🙂



  • @hbuerger nice! Freue mich sehr! Applaudiere euch allen!



  • @chrstn_hsbrg Ja... das war jetzt echt ein wenig mühsam...
    Siehe auch: Query CSRF-Token after login and add it to each request
    https://github.com/vineyardkoeln/churchtools-api/pull/10



  • Mega das neue Update.

    Leider gibt es bei uns Probleme mit den Events und Sichtbarkeiten, teilw. können Leiter die Einträge der Events nicht mehr sehen, Admins und andere Leiter können. (Problem ist per Formular und Screenshot an euch weitergereicht)

    Die Gruppen-Homepages treffen ganz gut genau das was Gemeinde HEUTE benötigt.



  • Wir haben seit dem Update leider das Problem, dass keinerlei Profilbilder mehr angezeigt werden. Steure ich direkt ein Bild an, so wird die Meldung "Image[353] not readable to determine size." ausgegeben. Ist das Problem bekannt und haben das noch andere?



  • @cregar wir haben das gleiche Problem. Rückmeldung vom Support:
    "ich vermute Sie sind Selfhoster? Dann könnte es sein, dass Ihnen das PHP Modul GD fehlt. Genau kann man das aber nur sagen wenn man in das Apache error log schaut."



  • @w_leader_02 sagte in Version 3.56:

    Mega das neue Update.

    Leider gibt es bei uns Probleme mit den Events und Sichtbarkeiten, teilw. können Leiter die Einträge der Events nicht mehr sehen, Admins und andere Leiter können. (Problem ist per Formular und Screenshot an euch weitergereicht)

    Auch bei uns sind für die Leiter nur noch die Einträge der Events sichtbar, in denen sie selber einen Dienst haben. Wird das behoben?


  • admin

    @tofisch hm... kann ich nicht bestätigen. Ein Filter ist aber nicht gesetzt, oder?



  • @hja sagte in Version 3.56:

    "ich vermute Sie sind Selfhoster? Dann könnte es sein, dass Ihnen das PHP Modul GD fehlt. Genau kann man das aber nur sagen wenn man in das Apache error log schaut."

    Ok, danke. Dann muss ich das nochmal klären lassen mit unserem Provider.



  • @tofisch Wir haben ebenso das Problem und lassen von CT hosten - ist es sinnvoll dass ich mich direkt an den Support wende oder haben das schon genügend Leute getan?

    Durch diesen Bug kann sich aktuell niemand mehr für einen Dienst eintragen.

    Gruß Daniel


  • ChurchToolsMitarbeiter

    @koehdaniel
    Ja meldet euch bitte beim Support


  • ChurchToolsMitarbeiter

    Wir haben die Event-Berechtigungen angepasst. Früher war es so, dass man Events sehen konnte über die Berechtigung die man im Kalender auf einzelnen Kalender hatte.

    Jetzt gibt es die Möglichkeit diese Berechtigung direkt in Events einzustellen mit den Berechtigungen:

    • Events von einzelnen Kalendern sehen (view events)
    • Events erstellen, bearbeiten, löschen (edit events)

    So können die Berechtigungen getrennt von den Kalenderberechtigungen eingeteilt werden und auch das Bearbeiten ist jetzt losgelöst vom sehen.

    In diesem Zuge ist die Berechtigung für den Event-Admin herausgenommen worden.

    Wir werden uns nochmal intern Gedanken dazu machen wie wir das jetzt machen und euch dann nochmal Bescheid geben.


  • ChurchToolsMitarbeiter

    @tofisch @koehdaniel

    Wir haben uns das gerade angeschaut und können bei uns kein Problem feststellt. Die Berechtigungen haben sich hier aus unserer Sicht nicht verändert. Das habe ich fälschlicherweise angenommen.
    Deshalb schickt uns doch bitte eine Mail an support@churchtools.de mit einer genauen Fehlerbeschreibung. Auch mit konkreten Fällen wo das Problem auftritt. Dann können wir uns das bei euch konkret anschauen.

    Am besten schreibt ihr in die Mail gleich rein, dass wir DB-Zugriff bekommen um das gleich lösen zu können.



  • @hbuerger ihr habt nicht zufällig ein Beta-Programm für das man sich anmelden kann oder? 😃


  • ChurchToolsMitarbeiter

    @w_leader_02 @tofisch @koehdaniel

    Wir haben das Problem mit den fehlenden Eventsichtbarkeiten untersucht. Kurzfristig lässt sich das Problem lösen, wenn ihr den Personen, die die Events sehen sollen, das globale Recht "Events von einzelnen Kalendern sehen (view events)" im Events-Modul gebt. Das globale Recht kann z.B. einfach auf einem Status oder über Gruppen gesetzt werden:

    Bildschirmfoto 2020-03-05 um 14.42.34.png

    Hier müssen die Kalender aktiviert werden, für die Events für die betreffenden Personen sichtbar sein sollen.
    Wir arbeiten noch an einer automatischen Lösung, aber kurzfristig lässt sich auf diese Weise erreichen, dass Mitarbeiter die fehlenden Events wieder sehen können.

    Hinter dem Problem liegt folgende Ursache:
    Mit der neuen Version 3.56 wurde ein neues globales Recht im Events-Modul eingeführt: "Events von einzelnen Kalendern sehen (view events)"
    Vor Version 3.56 waren Events immer sichtbar, wenn man das Events-Modul generell sehen kann und den dazugehörigen Kalender sehen kann (wenn man "Einzelnen Kalender sehen (view category)" im Kalender-Modul hat).

    Das wurde mit Version 3.56 geändert. Jetzt braucht man explizit das Recht "Events von einzelnen Kalendern sehen (view events)". Auf diese Weise kann man die Berechtigungen genauer einstellen.

    Damit bisher sichtbare Events weiterhin sichtbar bleiben, wurde mit dem Update automatisch das Recht "Einzelnen Kalender sehen (view category)" auf "Events von einzelnen Kalendern sehen (view events)" kopiert. Die Berechtigungen des öffentlichen Nutzers wurden dabei aber bewusst nicht kopiert. In eurem Fall konnten Mitarbeiter bisher einige Kalender sehen, u.a. den Gottesdienstkalender, weil der öffentliche Nutzer diese Kalender sehen darf. Da die Mitarbeiter bei euch über zusätzliche Rechte das Events-Modul generell sehen dürfen, konnten sie bisher auch alle dem Kalender zugehörigen Events sehen. Diese Berechtigung fehlt jetzt, da die Berechtigungen des öffentlichen Nutzers nicht kopiert wurden.

    Wir besprechen noch, wie wir solche Fälle generell lösen. Kurzfristig hilft es "Events von einzelnen Kalendern sehen (view events)" manuell zu setzen.



  • @jpawellek Hallo, bei uns habe ich das wie beschrieben eingestellt. Durch das Recht, alle Events zu sehen, haben die Leiter aber jetzt auch Events in den Ablaufplänen sichtbar, bei denen ihre Gruppen gar nicht beteiligt sind. Wäre nett, wenn ihr euch das noch mal vornehmen würdet. Danke und viele Grüße
    Torsten Fischer


  • ChurchToolsMitarbeiter

    @tofisch Das war dann aber bei euch auch schon davor so. Hast du die die Erklärung von @jpawellek durchgelesen?

    Die Berechtigung die wir vergessen haben zu transferieren sind die des globalen Users. Der hatte dann die Berechtigung den Kalender zu sehen und somit jeder. Wenn du diese Berechtigung jetzt einer Person explizit gibst dann sieht er das gleiche wie vor dem Update und nicht mehr.


  • ChurchToolsMitarbeiter

    @Denis-Gelb sagte in Version 3.56:

    @hbuerger ihr habt nicht zufällig ein Beta-Programm für das man sich anmelden kann oder? 😃

    doch das haben wir


  • ChurchToolsMitarbeiter

    @Denis-Gelb Wenn du daran teilnehmen willst schreib mir mal ne private Nachricht hier im Chat



  • @hbuerger was für ein Quatsch, ich zitiere aus eurem ChangeLog:

    Um die Angriffsfläche für CSRF zu verringern sind API-Zugriffe nur noch mit POST möglich. Bisher wurde aus ChurchTools nur mit POST auf die Api zugegriffen und alle Beispiele haben auch POST Anfragen genutzt es wure allerdings nicht von der Anwendung sichergestellt. Diese Änderungen gelten für die aktuelle API. Für die neue REST-API wird es eine Unterscheidung zwischen GET/PUT/POST/DELETE und PATCH geben.

    Ich halte zwar das Statement im ChangeLog für technisch nicht ganz richtig, aber zeigt trotzdem (von euch veröffentlicht), dass euch die Lücke seit ~ 2 Jahren bekannt ist.


  • ChurchToolsMitarbeiter

    @Marcel Wie kommst du darauf, dass uns die Sicherheitslücke seit 2 Jahren bekannt ist? Das war sie nämlich nicht.


Log in to reply